En materia de ciberseguridad en el sector Salud, un ejemplo lo encontramos en el ataque de ransomware contra el Hospital Universitario de Düsseldorf (Alemania). En septiembre de 2020, dicha acción colapsó todos los sistemas de la infraestructura tecnológica del hospital. Y como resultado, una paciente a la que había que operar tuvo que ser trasladada, pero lastimosamente falleció camino a un nuevo centro hospitalario. Al informar a los cibercriminales del suceso, retiraron el ataque y entregaron las llaves para el descifrado de la información.
Te puede interesar: Ciberseguridad en el sector Salud: principales riesgos
Aunque anteriormente podía ser una escena de película, en la actualidad es una realidad que podemos llegar a enfrentar si no existen los controles adecuados para combatir este riesgo de forma continua. En el sector de la Salud, la ciberseguridad requiere un enfoque integral que permita fortalecer los niveles de madurez con relación a toda una infraestructura que en el presente ha salido de lo que se conocía como perímetro de red. Y ha escalado a entornos cloud donde nos encontramos con temas de seguridad compartida con el proveedor, que pasa a ser parte de la administración de sistemas críticos.
¿Por dónde iniciar?
Implementar la ciberseguridad más allá del concepto trillado que muchos gerentes ya conocen puede parecer una odisea si no se tiene clara la estrategia que se utilizará de acuerdo con todos los componentes de la infraestructura tecnológica. Tener en cuenta que todas las organizaciones son únicas, sin importar si son del mismo sector, permitirá establecer asertivamente controles adaptados a las necesidades puntuales de la organización.
Comprender la infraestructura, su funcionamiento y, aún más importante, las formas de interacción con el usuario final nos permiten cubrir los flancos que un cibercriminal pudiera atacar durante un incidente de seguridad.
Uno de los problemas más comunes es la falta de presupuesto para el despliegue de sistemas que ayuden a gestionar la ciberseguridad. Esto más allá de ser una limitante, debería ser una oportunidad de diseñar desde cero una arquitectura de seguridad con herramientas open source que podamos adaptar a nuestras necesidades.
Algunas de las herramientas disponibles para las diferentes actividades básicas que deberían encontrarse en cualquier organización serían:
- Greenbone (OpenVas): análisis de vulnerabilidades de infraestructura.
- TheHive4: plataforma para gestión de incidentes de seguridad.
- T-POT: plataforma con múltiples honeypots.
- SonarQube: análisis estático de código.
- OWASP ZAP: escáner automático de vulnerabilidades web.
- Alient Vault OSSIM: SIEM open source.
Una vez se tienen las bases y herramientas que permiten gestionar de manera más eficiente los aspectos involucrados en la ciberseguridad, es momento de diseñar los documentos que más adelante, durante su implementación, nos ayudan a obtener indicadores positivos. Estos indicadores deben permitir periódicamente ver el progreso en el nivel de madurez y preparación de todas las partes que intervienen.
Del papel a la acción
Toda la documentación asociada a la ciberseguridad, como son los planes de respuesta a incidentes, planes de continuidad, gestión de vulnerabilidades, simulacros en ciberseguridad, políticas de seguridad de la información y cualquier otro, terminan por ser un desperdicio de tiempo cuando no se encuentran implementados. Por ejemplo, tener un DRP sin haberlo puesto a prueba con ejercicios de tipo Red Team, que te permitan conocer el estado de preparación real de cada persona y sistema de la organización, termina por ser una ventaja para el cibercriminal cuando ocurra un ciberataque.
En la actualidad, la ciberseguridad en el sector Salud debe ser reactiva y abordada desde perspectivas que nos obliguen a salir de la zona de confort que, todavía en muchas organizaciones, se da por falta de interés o desconocimiento. Aplicar estrategias periódicas como hacking ético, pruebas de ingeniería social dirigidas, campañas masivas de phishing para determinar el nivel de preparación general de la organización y ejercicios de Red Team enfocados a todos los controles que previamente se han desplegado facilita entender las repercusiones reales de un incidente y fortalecer continuamente la manera en la que protegemos la información.
La mejor estrategia
No existe una fórmula mágica que nos permita tan fácilmente mejorar los niveles de seguridad. Por el contrario, todo es parte de un proceso que inicia en establecer un gobierno de seguridad donde consideremos todos los factores que pueden llegar a afectar la integridad, disponibilidad y confidencialidad de la información. Contar con un equipo de profesionales en el área de TI capacitándose constantemente posibilita tener una visión actualizada de los problemas de seguridad que pueden presentarse en los sistemas que componen la infraestructura.
Conceptos como Zero Trust e inteligencia de amenazas deben convertirse en parte de los componentes que integramos a nuestra estrategia de seguridad. Por supuesto que en todo esto no podemos olvidarnos de normas como ISO 27001, el framework de ciberseguridad NIST y los controles CIS. Pero combinarlo con estrategias operativas y ofensivas, como emulación de adversarios, nos dan un panorama mucho más amplio sobre las fortalezas y debilidades de nuestra organización.
No podemos olvidar que, finalmente, detrás de toda esta estrategia que diseñemos hay un factor aún más fundamental: el usuario final. Debemos ser proactivos con la sensibilización sobre los riesgos de seguridad y medidas que como organización estamos implementado para mantener seguros los sistemas. Se deben socializar los nuevos controles que involucren al usuario, así como generar continuamente recomendaciones desde el área de TI sobre el buen uso de los sistemas. Toda la organización debe conocer el protocolo para informar de un incidente de seguridad.
El cibercriminal actual es muy paciente y capaz de mantener una infiltración por meses antes de cumplir su objetivo. Por esto son importantes programas de monitoreo a partir de sistemas de seguridad que suministren alertas tempranas de cualquier anomalía detectada, personal de TI capacitado para responder a estas amenazas y a toda la organización preparada para iniciar una contingencia que permita mantener la continuidad del negocio.
Todo esto alineado a una estrategia única, compuesta de controles hacia sistemas, procesos y personas que componen todo el perímetro de la organización, contribuirá a mantener a salvo nuestra información y minimizar el impacto de un incidente de seguridad.